- Мы
- Самооценка уровня зрелости ИБ
- Экспертиза
- Консалтинг
- Карьера
- Общественные ИБ-проекты
- Дискуссионный клуб
- Подкаст «Безопасный выход»
- Руководителям ИБ
- Управление функцией ИБ
- Обеспечение ИБ
- Соответствие требованиям ИБ
- Руководителям бизнеса
- Трансформация ИБ в бизнес-функцию
- Пресс-центр
- Новости
- Мероприятия
- Пресс-кит
- Контакты
Затраты на операционную надежность — расходы или инвестиции?
Сегодня перед финансовыми организациями стоит важная задача — предоставлять своим клиентам качественные услуги, отвечающие серьезным требованиям к обеспечению информационной безопасности. Решение этой задачи требует от топ-менеджмента организаций выделения финансирования и комплексного подхода к обеспечению операционной надежности. Попробуем разобраться в данной статье, всегда ли затраты на обеспечение операционной надежности являются затратами, или, при грамотном подходе, их можно рассматривать как инвестиции?
Согласно отчету Банка России за 2022 год, операционные расходы всей банковской системы составили 2 трлн 744 млрд рублей. Доходная часть — а именно процентные и комиссионные доходы банков примерно пропорционально выросли в 2022 году по сравнению с 2021 годом, и из всех полученных доходов примерно половина ушла на операционную деятельность.
Давайте рассмотрим, как распределяются затраты в финансовой организации. Как уже было подмечено, около половины доходов уходит на операционную деятельность. Кроме того, организация создает резервы, платит налоги и несет другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса. Допустим, бенефициары компании решают максимизировать прибыль. Такой подход сильно сокращает операционные расходы. А это, в свою очередь, ведет к тому, что уровень качества услуг для клиентов заметно снижается, и, как следствие, в финансовой организации в дальнейшей перспективе снижается доходная часть. С другой стороны, если не сдерживать операционные расходы, в том числе и на обеспечение безопасности услуг, они будут стремиться к уровню доходов, а бенефициары могут остаться без прибыли и возможности инвестирования в развитие бизнеса.
Чтобы найти «золотую середину» в определении размера расходов на обеспечение операционной надежности, нужно связать события (инциденты), с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них. Инструменты для проведения такого анализа влияния на бизнес известны. Можно опираться на международные или отечественные стандарты и лучшие практики.
По своему опыту мы можем сказать, что в России уже есть кредитные организации, которые на регулярной основе проводят подобный анализ, и на основе его результатов выстраивают системы информационной безопасности и процессы управления операционной надежностью в своих организациях.
Описание анализа
Проведение анализа состоит из шести этапов: первый — инициация, второй — определение границ анализа, третий — разработка шкалы критичности, четвертый — обследование процессов финансовых организаций, пятый — анализ данных и шестой — подведение итогов.
Третий и четвертый этапы могут проводиться параллельно. К третьему этапу обычно возвращаются повторно после анализа данных, если понимают, что шкалу критичности необходимо поправить. Рассмотрим подробнее, что входит в каждый этап.
Первый этап — инициация
На старте нужно собрать команду и определиться с целями анализа. Мы рекомендуем включать в команду специалистов следующих направлений: информационная безопасность, информационные технологии, управление рисками, представители бизнеса и представители бизнес-юнитов, понимающие как устроены бизнес-процессы внутри компании. Формируя цели анализа, можно опираться на текущую ситуацию и задачи, которые есть у организации в настоящий момент.
Рассмотрим пример. Представьте, что вы директор по ИБ в банке, который входит в первую сотню. На вашу кредитную организацию распространяется требование 787-П. Цель, которая на поверхности, — соответствовать требованиям Банка России. Это и становится ключевым обоснованием для выделения средств, но практика показывает, что ресурсы будут выделяться очень ограниченные. Наша рекомендация — брать цели крупнее, учитывающие бизнес-цели организации.
Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого, может быть рассмотрен бизнес-кейс, где описаны планируемые изменения в организации. К рабочим инструментам можно отнести и дорожную карту на несколько лет вперед. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы.
Второй этап — формирование границ анализа
После того, как мы определились с целями дальнейшего развития переходим к формированию границ анализа. Для этого необходимо определить ключевые финансовые продукты (услуги) для вашей организации. Обязательно нужно учесть те продукты, которые планируется запустить в рамках стратегии развития.
Вернемся к нашему примеру. Анализируя, какие требования содержатся в Положении 787-П Банка России, мы видим, что по мнению регулятора клиент всегда должен иметь возможность получить свой вклад, что соответствует закону о защите прав потребителей. Необходимо понять, как это может повлиять на доходы организации. Например, возможность получения кредита онлайн или оформления кредитной заявки может напрямую повлиять на доходы, потому что банки зарабатывают в основном на процентах с кредитов и на комиссии с проведения операций. Мы рекомендуем обратить внимание прежде всего на те финансовые продукты, которые приносят банкам наибольшее количество доходов.
Второй важный фактор, который необходимо учитывать, — стратегия развития организации. Компания может делать ставку на развитие того финансового продукта, который на данный момент, не приносит много денег, но через три года ситуация изменится и прибыль значительно вырастет. Конечно, развитие таких продуктов, а также то, что для этого потребуется, должно быть учтено при анализе.
Следующий шаг — описание бизнес-процессов оказания услуг организации и их владельцев. По нашим наблюдениям, финансовые отрасли всегда хорошо регламентируют свои бизнес-процессы. Можно проследить, какое подразделение за какой участок отвечает, и кто владеет каждым процессом.
Когда сформированы границы анализа, можно приступить к определению сроков проведения этого анализа, важно с ними не ошибиться. Например, если анализ будет длиться два года, то за этот период могут сильно поменяться ландшафт ИТ-инфраструктуры или предлагаемые услуги. Когда компания получит результаты анализа, то они могут оказаться неактуальными. Поэтому анализ процессов должен в идеале длиться от 2 до 6 месяцев.
Третий этап — шкала критичности
Следующий этап — разработка шкалы критичности. Для ее формирования необходимо составить перечень последствий, которые могут наступить в случае инцидента операционной надежности, и присвоить каждому последствию уровня критичности воздействий.
В качестве показателей критичности можно использовать денежные или процентные суммы, связанные с получением дохода или с его возможной потерей. Помимо этого, можно использовать качественные характеристики, например, показатели, связанные с репутационным ущербом. К этой шкале всегда можно вернуться и актуализировать ее в зависимости от новых факторов.
Четвертый этап — обследование
На практике четвертый этап выходит самым ресурсоемким и длительным. Он включает в себя картирование основных бизнес-процессов и исследование технологических участков. На этом же этапе уже должно быть установлено, как то или иное событие скажется на бизнес-процессах компании. На картинке представлен типовой бизнес-процесс обслуживания клиента.
На его примере мы видим, что бизнес-процесс неразрывно связан с определенными информационными системами (ИС), которые помогают его осуществлять. ИС в свою очередь напрямую зависят от той инфраструктуры, на которой они развернуты. Если происходит какое-то негативное событие, оно может привести к деградации или даже полной остановке бизнес-процесса, что в свою очередь приводит к потере доходов финансовой организацией.
Для того, чтобы качественно обеспечивать операционную надежность, нам необходимо выявить взаимосвязи между бизнес-процессами, информационными системами, которые их обслуживают и инфраструктурой, на которой все это развернуто.
Пятый этап — анализ данных
На данном этапе нам необходимо провести анализ последствий негативных событий и ранжировать возможный ущерб. Мы рекомендуем изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.
Следующий шаг — расчет пороговых показателей (целевое временное восстановление, допустимое время простоя и пр.) и результаты обследования. Анализируем, как то или иное событие скажется на ущербе и к каким последствиям приведет.
После этого финансовой организации необходимо будет ранжировать возможный для себя ущерб. На этом этапе нужно посчитать финансовый ущерб не только по критичности, но и примерно понять, какие суммы может потерять организация. Далее продукты ранжируются по пороговым показателям: например, насколько допустимо прерывание услуги (на один час, четыре, сутки). Бизнес-процессы классифицируются по критичности. Нередко один бизнес-процесс является частью нескольких финансовых услуг, и его остановка может привести к ущербу по нескольким услугам. Такой бизнес-процесс считается критичным и выносится на первый уровень.
Вся полученная информация может быть оформлена в табличном виде, либо в любом удобном вам фреймворке. На рисунке представлен пример, как это может выглядеть.
Шестой этап — подведение итогов
В рамках этого этапа разрабатываются меры по обеспечению непрерывности бизнеса и корректируется план обеспечения непрерывности и восстановления деятельности (ОНиВД) на основе полученных данных.
Помимо этого, мы рекомендуем оформить аналитический отчет для руководства с мерами, последовательностью их внедрения и их стоимостью. А также посмотреть, что из предложенных мер можно отнести к инвестиционной части, а что будет списано как операционные расходы.
Приведем пример. Мы прошли все этапы и поняли, что в следующем году для обеспечения стабильной работы нашей финансовой организации нам необходимо:
- Создать еще один серверный кластер для резервирования данных с ERP-системы.
- Пересмотреть договор с компанией, которая поддерживает наше сетевое оборудование, сократить SLA до двух часов.
- Расширить штат техподдержки.
- Внедрить систему защиты от целевых атак.
Часть этих расходов, например, покупка серверов для резервирования ERP и внедрение системы защиты от целевых атак, можно отнести к инвестиционному проекту, но только в том случае, если мы сможем показать руководству, какой будет ожидаемый эффект от этих вложений, какой ущерб мы сможем предотвратить в случае наступления негативного события.
Другие два пункта, скорей всего будут отнесены к операционным расходам, но и их увеличение также нужно будет обосновать, показав ущерб, который мы планируем предотвратить.
Работая над данной статьей, нам хотелось уйти от привычной схемы, что затраты на обеспечение операционной надежности — это всегда операционные расходы. Хотим подчеркнуть, что с применением аналитического подхода, они могут начать восприниматься как инвестиции в развитие финансовой организации, но для этого, безусловно, нужно провести большую и сложную работу, а также подняться на уровень бизнес-процессов всей организации, чтобы сделать ее качественно.
Такой анализ — это лишь один из элементов системы управления операционной надежностью, его можно использовать для развития ИТ-инфраструктуры и обоснования выделения средств на ее модернизацию. Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможными ущербами или, наоборот, с увеличением доходов и прибыли.
Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможным ущербом или, наоборот, с увеличением доходов и прибыли.
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию